04/12/2025
IT-Connect » Cours - Tutoriels » Administration Systèmes » Windows Server » Windows Server 2025 – RDS : comment publier une application en RemoteApp ?

Windows Server 2025 RDS - Publier une application en Remote App
Windows Server

Windows Server 2025 – RDS : comment publier une application en RemoteApp ?

Florian BURNEL 0 commentaire

I. Présentation

Ce tutoriel vous guidera pas à pas dans la publication d'une nouvelle application en RemoteApp sur un serveur Bureau à distance (RDS) sous Windows Server 2025. Au-delà de la configuration, nous verrons comment effectuer quelques tests de bon fonctionnement.

Le partage d'applications via RemoteApp est une approche permettant de fournir un accès distant à des applications sans donner un accès complet au bureau distant. Bien souvent, les entreprises s'appuient sur cette méthode pour centraliser la gestion d'applications métiers ou offrir un accès à des logiciels spécifiques à des utilisateurs externes. Toutes les applications ne sont pas compatibles avec ce mode de déploiement, mais c'est un mode d'utilisation répandu.

Qu'est-ce qu'une application publiée en RemoteApp ?

Une application publiée en RemoteApp est une application qui est exécutée sur un serveur distant (dans notre cas, le serveur RDS nommé SRV-RDS-01), mais qui apparaît aux utilisateurs comme si elle s'exécutait directement sur leur poste de travail local. Au lieu de se connecter à un bureau distant complet (avec une session complète) et d'y lancer l'application, l'utilisateur voit uniquement la fenêtre de l'application.

Le serveur gère l'exécution, les calculs et l'affichage de l'application, tandis que l'utilisateur interagit avec elle via son client local (avec le client Connexion Bureau à distance ou via un navigateur web). Cette méthode permet de dissocier l'exécution de l'application de l'environnement local de l'utilisateur, ce qui est utile pour la centralisation, la mise à jour et la gestion des logiciels.

II. Prérequis

Avant de débuter, assurez-vous de disposer des éléments suivants :

  • Un serveur RDS sous Windows Server prêt à l'emploi avec les services "Accès Web aux Services Bureau à distance" et "Hôte de session Bureau à distance" configurés et fonctionnels. Dans notre cas, il s'agit de SRV-RDS-01.
  • Un certificat TLS pour sécuriser les connexions entre le client et le serveur RDS.

Voici quelques précisions sur l'environnement :

  • La collection par défaut sera utilisée, à savoir QuickSessionCollection, mais vous pouvez utiliser une autre collection.
  • Un groupe de sécurité Active Directory nommé RDS_Users est créé et contient les utilisateurs qui pourront accéder aux applications RemoteApp (et à l'hôte de session en lui-même)
  • Un certificat auto-signé sera généré avec PowerShell et sera lié au site correspondant au RDWeb dans IIS.

Il est à noter qu'ici, nous effectuons un déploiement uniquement en local, avec un seul serveur RDS. Si vous souhaitez déployer des applications RemoteApp pour qu'elles soient utilisées à distance, par des utilisateurs nomades, par exemple, vous devez aller plus loin dans la configuration. En effet, vous devez déployer une passerelle RDS et l'utiliser comme point d'entrée sécurisé pour l'accès aux applications (ceci pourra faire l'objet d'un autre tutoriel).

Besoin d'aide pour installer un serveur RDS ? Suivez notre tutoriel :

III. Génération et configuration du certificat auto-signé

Bien que mentionné comme prérequis, il est utile de rappeler brièvement les étapes pour la génération et l'application du certificat auto-signé. Sans cela, vous ne pourrez pas accéder à votre portail RDWeb, et donc vous serez bloqué.

Attention, un certificat auto-signé ne sera pas reconnu automatiquement par les machines clientes, car il n'est pas émis une autorité de certification valide. Donc, vous devez l'importer dans le magasin des certificats de toutes vos machines pour éviter les avertissements de sécurité. Ainsi, il est préférable d'utiliser un autre type de certificat :

  • Un certificat TLS délivré par votre autorité de certification d'entreprise (avec AD CS, par exemple)
  • Un certificat TLS délivré par une autotiré de certification publique (DigiCert, Comodo, Let's Encrypt, etc.), ce qui sera utile si vous utilisez un nom de domaine public, si, dans le cadre de votre projet, vous devez rendre accessible ces applications via Internet.

Dans le cadre de cette démonstration, nous allons générer un certificat auto-signé avec PowerShell.

A. Créer le certificat TLS avec PowerShell

Depuis le serveur RDS, ouvrez une console PowerShell en tant qu'administrateur, puis lancez cette commande :

New-SelfSignedCertificate -FriendlyName srv-rds-01 -DnsName srv-rds-01.it-connect.local -CertStoreLocation Cert:\LocalMachine\My -KeyUsage DigitalSignature

Il est important d'adapter le nom du serveur et le nom DNS, en fonction de votre environnement. Sachez que ce certificat sera directement stocké dans le magasin personnel de la machine locale.

B. Lier le certificat TLS à RDWeb

Désormais, nous allons voir comment lier ce certificat au site RDWeb. Ouvrez le "Gestionnaire des services Internet (IIS)".

1 - Dans le volet de gauche, développez le nœud de votre serveur, puis "Sites", et sélectionnez "Default Web Site" (ou le site où votre RDWeb est hébergé). Effectuez un clic droit et choisissez "Modifier les liaisons...".

2 - Choisissez la liaison https et cliquez sur le bouton "Modifier" situé sur la droite.

3 - Indiquez le nom DNS complet de votre serveur comme nom d'hôte, à savoir ici srv-rds-01.it-connect.local.

4 - Dans le champ "Certificat SSL", sélectionnez le certificat que vous venez de créer (identifiable par son "Nom convivial" : SRV-RDS-01). Validez par "OK".

C. Tester l'accès au RDWeb

Pour tester votre configuration, ouvrez un navigateur pour accéder à l'interface permettant d'accéder aux services Bureau à distance par le Web. Ce qui donne l'adresse suivante : https://srv-rds-01.it-connect.local/RDWeb.

Vous devriez avoir un avertissement lié au fait que le certificat est auto-signé, mais vous pouvez l'ignorer. Vous pouvez tout à fait accéder à cette page depuis une autre machine. Ensuite, vous arrivez sur cette page :

Dans le cas où votre serveur RDS est dans sa configuration par défaut, vous devriez voir deux applications déjà publiées : Calculatrice et Paint. Par exemple, cliquez sur la Calculatrice : ceci va télécharger un fichier RDP permettant d'établir une liaison directe avec cette application.

Vous devez alors confirmer la connexion, saisir votre mot de passe, et la Calculatrice doit s'ouvrir sur la machine ! Le processus associé consomme des ressources sur le serveur RDS, et non sur l'ordinateur à l'origine de la connexion.

Désormais, nous allons voir comment gérer la liste d'applications RemoteApp et d'autres façons d'établir une connexion.

IV. Publication d'une nouvelle application RemoteApp

Nous allons maintenant procéder à la publication d'une application, enfin plutôt deux applications : PDFSam, une application pour manipuler des PDF et l'outil Informations système (uniquement pour que vous puissiez voir que l'exécution est bien distante).

Nous modifierons la collection par défaut, nommée QuickSessionCollection (à moins que vous ayez changé son nom). Pour rappel, un hôte de session RDS ne peut être lié qu'à une seule collection (par contre, le Broker peut être mutualisé entre plusieurs collections).

1 - Accédez à la console Gestionnaire de serveur sur votre serveur SRV-RDS-01. Dans le menu de gauche, cliquez sur "Services Bureau à distance".

2 - Dans la section "Collections", cliquez sur la collection QuickSessionCollection. Ensuite, cliquez sur le bouton "Tâches" au niveau de la section "Programmes RemoteApp" pour pouvoir accéder à l'option "Publier des programmes RemoteApp".

3 - Vous devez ensuite sélectionner les programmes à publier en tant que RemoteApp. Nous ne l'avons pas précisé jusqu'ici, mais les applications que vous souhaitez publier doivent être installées sur le(s) serveur(s) RDS de la collection. Si vous souhaitez ajouter une application qui n'est pas référencée ici, cliquez sur le bouton "Ajouter".

Nous sélectionnons les deux applications évoquées précédemment.

4 - Poursuivez... Un récapitulatif s'affichera. Vérifiez que toutes les informations sont correctes et cliquez sur "Publier". Une fois l'opération terminée, cliquez sur "Terminer".

Les applications sont maintenant publiées en tant que RemoteApp.

V. Gérer les accès à la collection

Pour accéder à ces applications publiées, un utilisateur doit disposer de permissions sur la collection RDS en elle-même. Par défaut, le groupe Utilisateurs du domaine est sélectionné, ce qui signifie que tous les utilisateurs peuvent en profiter. Nous allons affiner les permissions pour autoriser uniquement les membres du groupe RDS_Users. Ce groupe de sécurité doit être créé et peuplé dans l'Active Directory.

Quand c'est fait, toujours dans la collection QuickSessionCollection, cliquez sur le bouton "Tâches" puis "Modifier les propriétés".

Basculez sur la section "Groupes d'utilisateurs" sur la gauche afin d'effectuer deux actions :

  • Ajouter le groupe RDS_Users à la liste
  • Retirer le groupe Utilisateurs du domaine de la liste.

Vous pouvez, éventuellement, en profiter pour parcourir les autres paramètres disponibles. Cliquez sur "OK" pour valider.

VI. Vérification de l'accès via RDWeb

Nous allons maintenant procéder à quelques tests de bon fonctionnement. Il existe plusieurs façons pour accéder aux applications, notamment via le portail Web, via un client RDP HTML5 (directement dans le navigateur) ou encore en ajoutant la connexion dans Windows.

A. Ouvrir une RemoteApp depuis la passerelle Web

Depuis une autre machine, suivez les étapes suivantes :

1 - Ouvrez un navigateur web et accédez à l'URL de votre site RDWeb. L'URL par défaut est généralement https://SRV-RDS-01.it-connect.local/RDWeb.

2 - Connectez-vous avec un compte utilisateur membre du groupe de sécurité RDS_Users.

3 - Vous devriez voir les icônes des applications que vous venez de publier. Un simple clic sur une application permet de télécharger le fichier RDP pour ensuite lancer ladite application.

4 - Vous n'avez plus qu'à profiter de ces applications !

Maintenant, si vous utilisez l'outil de modification de PDF et que vous chargez un fichier, vous pourrez constater une particularité. Par défaut, vous explorez le disque du serveur RDS au niveau du profil distant situé sur ce serveur. Si vous souhaitez charger un fichier situé sur votre PC en local, vous devez passer par "Ce PC" et choisir de parcourir le disque, comme ici "C sur <Nom de la machine locale>". C'est une différence à l'usage.

Si vous lancez l'application Informations système, vous pourrez constater qu'elle n'affiche pas les informations de la machine locale, mais celles du serveur RDS. J'ai volontairement sélectionné cette application pour vous montrer que l'exécution était bien réalisée sur le serveur. Du côté client, ce n'est que de l'affichage.

B. Ouvrir une RemoteApp depuis Windows

Le système d'exploitation Windows intègre une fonctionnalité pour monter les applications RemoteApp de façon à les référencer dans le menu Démarrer de la machine. Si vous cherchez à vous connecter de cette façon, vous obtiendrez l'erreur suivante : "Il existe un problème avec le certificat de sécurité de cette connexion."

L'explication : Windows ne reconnait pas le certificat auto-signé et il n'est pas possible de passer outre cet avertissement. Nous devons exporter le certificat depuis le serveur RDS et l'importer sur le poste de travail, dans le magasin de certificats correspondant aux autorités de certification racine de confiance.

Sur le serveur RDS, ouvrez une console MMC avec le composant "Certificats" en ciblant l'ordinateur local. Ensuite, parcourez le magasin de certificat personnel, où vous devriez trouver le certificat créé précédemment. Effectuez un clic droit dessus, et sous le menu "Toutes les tâches", choisissez l'option "Exporter...".

Laissez-vous guider par l'assistant. Vous pouvez conserver les choix par défaut. Veillez à ne pas exporter la clé privée. Quand c'est fait, vous obtenez un fichier CER, par exemple Cert-RDWeb.cer.

Transférez ce fichier sur le poste de travail depuis lequel effectuer la connexion (nous pourrions le distribuer par GPO). Double-cliquez dessus et lancez l'installation du certificat.

Un assistant va s'afficher, l'essentiel étant de bien placer le certificat dans le magasin nommé "Autorités de certification racines de confiance". Finalisez l'installation du certificat.

Désormais, vous pouvez tester la configuration. Ouvrez le "Panneau de configuration", et dans la liste des icônes, choisissez l'entrée "Connexions RemoteApp et Bureau à distance".

Sur la gauche, cliquez sur le lien "Accéder aux programmes RemoteApp et aux services Bureau à distance".

Vous devez ensuite spécifier une URL bien précise, en adaptant le nom de votre serveur : https://srv-rds-01.it-connect.local/rdweb/feed/webfeed.aspx.

Une fenêtre d'avertissement apparaît alors, poursuivez.

Ensuite, vous devez vous authentifier avec un compte utilisateur. Pour rappel, ce compte doit être membre du groupe de sécurité RDS_Users.

Enfin, cliquez sur le bouton "Terminer".

Désormais, la connexion au RDS apparaît en tant que "Work Resources", avec 4 programmes disponibles. Dans le menu Démarrer de l'ordinateur, une nouvelle section est disponible dans les programmes et permet de bénéficier de raccourcis vers les RemoteApp.

Voilà, vos applications RemoteApp sont facilement accessibles par l'utilisateur.

VII. Conclusion

En suivant ce tutoriel, vous devriez être en mesure de publier une application en RemoteApp sur un serveur Windows Server 2025. L'utilisation de certificats auto-signés, bien que pratique pour des environnements de test, devrait être remplacée par des certificats émis par une autorité de certification de confiance dans des déploiements en production pour des raisons de sécurité.

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Voir la bio complète
social network icon social network icon
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Vous pourrez aussi aimer

Tutoriel Installation Microsoft Exchange 2019

Installation pas à pas de Microsoft Exchange 2019 sur Windows Server 2022

Florian BURNEL 19

WS 2012 Core – Activer Windows Update

Florian BURNEL 0

WS 2012 Core – Installation

Florian BURNEL 0

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.